Freigeben über


Konfigurieren Sie verwaltete Identitäten mit Microsoft Entra ID für Ihr Azure Cosmos DB-Konto

GILT FÜR: NoSQL MongoDB Cassandra Gremlin Tabelle

Verwaltete Identitäten für Azure-Ressourcen stellen für Azure-Dienste eine automatisch verwaltete Identität in Microsoft Entra ID bereit. Dieser Artikel zeigt, wie Sie eine verwaltete Identität für Azure Cosmos DB-Konten erstellen.

Voraussetzungen

Hinzufügen einer systemseitig zugewiesenen Identität

Verwenden des Azure-Portals

Um eine vom System zugewiesene verwaltete Identität für ein bestehendes Azure Cosmos DB-Konto zu aktivieren, navigieren Sie zu Ihrem Konto im Azure-Portal und wählen Sie Identität aus dem linken Menü.

Der Menüeintrag Identität

Stellen Sie unter dem Abschnitt System zugewiesen den Status auf Ein und wählen Sie Speichern. Sie werden aufgefordert, die Erstellung der systemzugewiesenen verwalteten Identität zu bestätigen.

Aktivierung einer vom System zugewiesenen Identität

Sobald die Identität erstellt und zugewiesen wurde, können Sie ihre Objekt-ID (Haupt-ID) abrufen.

Abrufen der Objekt-ID einer vom System zugewiesenen Identität

Verwenden einer Azure-Ressourcenmanager (ARM) Vorlage

Wichtig

Stellen Sie sicher, dass Sie ein apiVersion oder 2021-03-15 höher verwenden, wenn Sie mit verwalteten Identitäten arbeiten.

Wenn Sie eine vom System zugewiesene Identität für ein neues oder vorhandenes Azure Cosmos DB Konto aktivieren möchten, fügen Sie die folgende Eigenschaft in die Ressourcendefinition ein:

"identity": {
    "type": "SystemAssigned"
}

Der resources Abschnitt Ihrer ARM-Vorlage sollte dann wie folgt aussehen:

"resources": [
    {
        "type": " Microsoft.DocumentDB/databaseAccounts",
        "identity": {
            "type": "SystemAssigned"
        },
        // ...
    },
    // ...
]

Sobald Ihr Azure Cosmos DB-Konto erstellt oder aktualisiert wurde, wird es die folgende Eigenschaft anzeigen:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Verwenden der Azure-Befehlszeilenschnittstelle

Um beim Erstellen eines neuen Azure Cosmos DB-Kontos eine systemseitig zugewiesene Identität zu aktivieren, fügen Sie die Option --assign-identity hinzu:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb create \
    -n $accountName \
    -g $resourceGroupName \
    --locations regionName='West US 2' failoverPriority=0 isZoneRedundant=False \
    --assign-identity

Sie können über den Befehl az cosmosdb identity assign auch einem vorhandenen Konto eine systemseitig zugewiesene Identität hinzufügen:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity assign \
    -n $accountName \
    -g $resourceGroupName

Sobald Ihr Azure Cosmos DB-Konto erstellt oder aktualisiert wurde, können Sie die zugewiesene Identität mit dem Befehl az cosmosdb identity show abrufen:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity show \
    -n $accountName \
    -g $resourceGroupName
{
    "type": "SystemAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Hinzufügen einer benutzerseitig zugewiesenen Identität

Verwenden des Azure-Portals

Um eine vom Benutzer zugewiesene verwaltete Identität in einem bestehenden Azure Cosmos DB-Konto zu aktivieren, navigieren Sie zu Ihrem Konto im Azure-Portal und wählen Sie Identität im linken Menü.

Der Menüeintrag Identität

Wählen Sie unter dem Abschnitt Benutzer zugewiesen die Optionen + Hinzufügen.

Aktivierung einer benutzerzugewiesenen Identität

Suchen und wählen Sie alle Identitäten, die Sie Ihrem Azure Cosmos DB-Konto zuweisen möchten, und wählen Sie dann Hinzufügen.

Auswahl aller zuzuweisenden Identitäten

Verwenden einer Azure-Ressourcenmanager (ARM) Vorlage

Wichtig

Stellen Sie sicher, dass Sie ein apiVersion oder 2021-03-15 höher verwenden, wenn Sie mit verwalteten Identitäten arbeiten.

Um eine vom Benutzer zugewiesene Identität für ein neues oder bestehendes Azure Cosmos DB-Konto zu aktivieren, fügen Sie die folgende Eigenschaft in die Ressourcendefinition ein:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<identity-resource-id>": {}
    }
}

Der resources Abschnitt Ihrer ARM-Vorlage sollte dann wie folgt aussehen:

"resources": [
    {
        "type": " Microsoft.DocumentDB/databaseAccounts",
        "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
                "<identity-resource-id>": {}
            }
        },
        // ...
    },
    // ...
]

Nachdem Ihr Azure Cosmos DB Konto erstellt oder aktualisiert wurde, wird die folgende Eigenschaft angezeigt:

"identity": {
    "type": "UserAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Verwenden der Azure-Befehlszeilenschnittstelle

Um eine vom Benutzer zugewiesene Identität zu aktivieren, während Sie ein neues Azure Cosmos DB-Konto erstellen, fügen Sie die Option --assign-identity hinzu und übergeben die Ressourcen-ID der Identität, die Sie zuweisen möchten:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb create \
    -n $accountName \
    -g $resourceGroupName \
    --locations regionName='West US 2' failoverPriority=0 isZoneRedundant=False \
    --assign-identity <identity-resource-id>

Sie können auch eine vom Benutzer zugewiesene Identität zu einem bestehenden Konto hinzufügen, indem Sie den Befehl az cosmosdb identity assign verwenden:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity assign \
    -n $accountName \
    -g $resourceGroupName
    --identities <identity-resource-id>

Nachdem Ihr Azure Cosmos DB-Konto erstellt oder aktualisiert wurde, können Sie die zugewiesene Identität mit dem Befehl az cosmosdb identity show abrufen:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity show \
    -n $accountName \
    -g $resourceGroupName
{
    "type": "UserAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Entfernen einer dem System oder dem Benutzer zugewiesenen Identität

Verwenden einer Azure-Ressourcenmanager (ARM) Vorlage

Wichtig

Stellen Sie sicher, dass Sie ein apiVersion oder 2021-03-15 höher verwenden, wenn Sie mit verwalteten Identitäten arbeiten.

Legen Sie den type der Eigenschaft identity auf None fest, um eine systemseitig zugewiesene Identität aus Ihrem Azure Cosmos DB-Konto zu entfernen:

"identity": {
    "type": "None"
}

Verwenden der Azure-Befehlszeilenschnittstelle

Um alle verwalteten Identitäten aus Ihrem Azure Cosmos DB-Konto zu entfernen, verwenden Sie den Befehl az cosmosdb identity remove:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity remove \
    -n $accountName \
    -g $resourceGroupName

Nächste Schritte